KR101003094B1 - Cyber attack traceback system by using spy-bot agent, and method thereof - Google Patents

Cyber attack traceback system by using spy-bot agent, and method thereof Download PDF

Info

Publication number
KR101003094B1
KR101003094B1 KR1020080100299A KR20080100299A KR101003094B1 KR 101003094 B1 KR101003094 B1 KR 101003094B1 KR 1020080100299 A KR1020080100299 A KR 1020080100299A KR 20080100299 A KR20080100299 A KR 20080100299A KR 101003094 B1 KR101003094 B1 KR 101003094B1
Authority
KR
South Korea
Prior art keywords
host
spy
dangerous
bot
packet
Prior art date
Application number
KR1020080100299A
Other languages
Korean (ko)
Other versions
KR20090113745A (en
Inventor
김종현
나중찬
유종호
김건량
장범환
손선경
정치윤
조현숙
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Publication of KR20090113745A publication Critical patent/KR20090113745A/en
Application granted granted Critical
Publication of KR101003094B1 publication Critical patent/KR101003094B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Abstract

본 발명은 도메인 상호간의 협력체계에 의존하지 않고도 해킹을 시도하는 공격자의 위치를 추적하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법, 및 시스템에 관한 것이다. 이를 위해 본 발명은, 호스트 스캐닝을 통해 해킹에 취약한 포트가 오픈 된 위험 호스트를 적어도 하나 검출하는 역추적 서버, 및 검출된 각 위험 호스트로 스파이 봇 에이전트를 전송하여 설치하며, 설치된 스파이 봇 에이전트를 통해 각 위험 호스트를 출입하는 패킷의 패킷정보를 획득하는 스파이 봇 관리 서버를 포함하며, 역추적 서버는, 각 위험 호스트를 통해 획득된 패킷정보를 참조하여 위험 호스트들을 경유하는 해킹 코드의 출발지점을 역 추적한다.

Figure R1020080100299

도메인, 호스트, 역추적, 스파이 봇 에이전트, 패킷

The present invention relates to a network attack location tracking method and system using a spy bot agent that tracks the location of an attacker who attempts hacking without relying on the cooperation system between domains. To this end, the present invention, through the host scanning backtracking server for detecting at least one dangerous host open port vulnerable to hacking, and transmitting and installing a spy bot agent to each detected dangerous host, through the installed spy bot agent And a spy bot management server for acquiring packet information of the packets entering and leaving each dangerous host, and the backtracking server refers to packet information obtained through each dangerous host to reverse the starting point of the hacking code via the dangerous hosts. To track.

Figure R1020080100299

Domain, host, traceback, spybot agent, packet

Description

스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법, 및 시스템{Cyber attack traceback system by using spy-bot agent, and method thereof}{Cyber attack traceback system by using spy-bot agent, and method}

본 발명은 네트워크 공격자의 위치를 추적하는 방법, 및 시스템에 관한 것으로, 특히 상호 배타적이고 비 협력적인 도메인 환경에서도 네트워크 공격자의 위치를 추적하는 스파이 봇 에이전트를 이용한 네트워크 공격위치 추적방법, 및 시스템에 관한 것이다.The present invention relates to a method and system for tracking a network attacker's location, and more particularly, to a network attack location tracking method using a spy bot agent for tracking a network attacker's location even in a mutually exclusive and uncooperative domain environment. will be.

본 발명은 정보통신부 및 정보통신연구진흥원의 IT 신성장동력핵심기술개발 사업의 일환으로 수행한 연구로부터 도출된 것이다[과제 관리번호 2007-S-022-02, 과제명 : ALL-IP 환경의 지능형 사이버 공격 감시 및 추적 시스템 개발].The present invention is derived from the research conducted as part of the IT new growth engine core technology development project of the Ministry of Information and Communication and the Ministry of Information and Communication Research and Development. [Task Management No. 2007-S-022-02, Title: Intelligent Cyber in the ALL-IP Environment Development of Attack Monitoring and Tracking System].

네트워크를 통해 목표 호스트에 침입하고자 하는 공격자(해커)는 자신의 실제 네트워크 정보가 드러나지 않도록 하는데 많은 노력을 기울인다. 공격자는 목표 호스트에 직접 접속하지 않고 타 호스트를 경유하거나, 익명의 프록시 서버를 통해 우회하여 목표 호스트에 접근한다. An attacker (hacker) who tries to break into the target host through the network makes a lot of effort to keep his or her real network information from being revealed. The attacker accesses the target host through another host without directly accessing the target host or by bypassing an anonymous proxy server.

공격자가 목표 호스트에 접근하기 위해 타 호스트를 여럿 경유하는 경우, 공격자의 단말기에서 중간 경유지로 사용되는 호스트를 지날 때마다 패킷의 출발지점 과 목표지점이 계속 바뀌게 된다. 예컨대, 공격자의 단말기가 프록시 서버로 패킷을 전송할 때는 공격자의 단말기에 할당되는 IP가 출발지점이고, 프록시 서버의 주소가 목표지점이 되나, 공격자의 단말기에서 전송된 패킷을 프록시 서버가 목표 호스트로 전송할 때는 프록시 서버의 IP가 패킷의 출발지점이 되고, 목표 호스트의 IP가 목표지점이 된다. 만일, 공격자의 해킹이 성공하고, 추후, 목표 호스트의 관리자가 목표 호스트에 접속한 접속내역을 조사할 때, 관리자는 프록시 서버에서 접근했던 내역을 알 수 있을 뿐이다. If an attacker passes through multiple hosts to reach the target host, the packet's starting point and target point will change each time it passes through the host used as an intermediate stop in the attacker's terminal. For example, when the attacker's terminal sends a packet to the proxy server, the IP assigned to the attacker's terminal is the starting point, and the address of the proxy server becomes the target point. However, when the proxy server transmits the packet sent from the attacker's terminal to the target host. The IP of the proxy server is the starting point of the packet, and the IP of the target host is the destination. If the attacker's hack succeeds and later the administrator of the target host examines the connection history of the target host, the administrator can only know the details of access from the proxy server.

따라서, 공격자의 네트워크 공격을 차단하기 위해서 기본적으로 공격자의 위치가 어디인지, 공격자가 누구인지를 아는 것이 중요하다. 공격자가 해킹을 목적으로 목표 호스트로 접근할 때, 이를 실시간으로 인지하고 공격자의 위치를 탐지하는 과정이 요구되는데, 통상 이를 역추적(Traceback)이라 한다. 역추적은 TCP 연결 역추적(TCP Traceback), 및 IP 패킷 역추적(IP packer traceback) 방식 등이 주로 이용되며, IP 역추적 기술로는 Ingress Filtering, Logging, 해쉬 기반 IP 역추적, ICMP 역추적, IPsec 기반 역추적, 확률적 패킷 마킹 기술 등이 있다. Therefore, in order to block an attacker's network attack, it is basically important to know where the attacker is and who the attacker is. When an attacker approaches a target host for the purpose of hacking, it is required to recognize this in real time and detect the attacker's location. This is commonly referred to as traceback. TCP traceback, IP packer traceback, etc. are mainly used for the back trace. In back filtering, ingress filtering, logging, hash-based IP trace, ICMP trace, IPsec-based traceback, probabilistic packet marking technology.

한편, 상기한 역추적 방법은 단일 도메인에 속하는 호스트 사이에서의 역추적은 용이한 반면, 서로 다른 도메인에 속하는 호스트에 대해서는 역추적이 어려운 문제가 있다. 만일 A 도메인에 속하는 호스트에서 B 도메인에 속하는 호스트로 해킹이 의심되는 패킷이 전송되었다면, B 도메인에 속하는 호스트는 A 도메인으로 패킷의 출발지점 정보를 요청하여야 한다. 해킹이 의심되는 패킷이 더 많은 수의 도메인을 경유하여 목표 호스트로 침입한 경우, B 도메인에 속하는 호스트는 패킷이 경유한 각 도메인의 협력을 얻어야 공격자의 실제 출발지점을 파악할 수 있다. On the other hand, while the above traceback method is easy to trace back between hosts belonging to a single domain, the traceback is difficult for hosts belonging to different domains. If a packet that is suspected of being hacked is transmitted from a host belonging to domain A to a host belonging to domain B, the host belonging to domain B must request information about the origin of the packet to domain A. If a suspicious packet breaks into a target host via a larger number of domains, a host belonging to domain B can obtain the attacker's actual starting point by cooperating with each domain via the packet.

그러나, 각 도메인은 상호 협력적이지 않으며, 상대편 도메인에 대해 적대적인 경우도 많아 기존의 역추적 방법으로는 여러 도메인을 경유한 패킷의 실제 공격자 위치를 파악하는 것이 매우 어려운 실정이다. 이에 본 출원인은 상호 배타적이고 비 협력적인 도메인 환경에서도 네트워크 공격자의 위치를 추적하는 스파이 봇 에이전트를 이용한 네트워크 공격위치 추적방법, 및 시스템을 제안하고자 한다.However, each domain is not cooperative and often hostile to the other domain. Therefore, it is very difficult to determine the actual attacker location of a packet through several domains by the conventional traceback method. Accordingly, the present inventors propose a network attack location tracking method and system using a spy bot agent that tracks the location of a network attacker even in mutually exclusive and non-cooperative domain environments.

따라서, 본 발명의 목적은 도메인 상호간의 협력체계에 의존하지 않고도 해킹을 시도하는 공격자의 위치를 추적하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법, 및 시스템을 제공함에 있다.Accordingly, an object of the present invention is to provide a network attack location tracking method and system using a spy bot agent that tracks the location of an attacker who attempts hacking without relying on the cooperation system between domains.

또한, 본 발명의 다른 목적은 동일 도메인, 또는 서로 다른 도메인에 속하는 각 호스트들 중 보안이 취약한 곳에 공격자의 공격 탐지를 위한 스파이 봇 에이전트를 이식하고, 이를 통해 보안이 취약한 곳을 지속적으로 감시함으로써 공격자에 의한 피해를 최소화하는 스파이 봇 에이전트를 이용한 네트워크 공격위치 추적 방법, 및 시스템을 제공함에 있다.In addition, another object of the present invention is to implant a spy bot agent for detecting the attacker's attack in the weak security of each of the hosts belonging to the same domain or different domains, through which the attacker by continuously monitoring the weak security To provide a network attack location tracking method and system using a spy bot agent to minimize the damage caused by.

상기한 목적은 본 발명에 따라, 호스트 스캐닝을 통해 해킹에 취약한 포트가 오픈 된 위험 호스트를 적어도 하나 검출하는 역추적 서버, 및 상기 검출된 각 위험 호스트로 스파이 봇 에이전트를 전송하여 설치하며, 설치된 스파이 봇 에이전트를 통해 상기 각 위험 호스트를 출입하는 패킷의 패킷정보를 획득하는 스파이 봇 관리 서버를 포함하며, 상기 역추적 서버는, 상기 스파이 봇 에이전트를 통해 상기 각 위험 호스트를 출입하는 패킷들 중 상기 각 위험 호스트에서 할당하는 IP 범위에 해당하지 않는 위험 패킷에 대해 각 호스트별 근원지 정보와 목적지 정보를 추적하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템에 의해 달성된다.The above object is a traceback server for detecting at least one dangerous host whose port is vulnerable to hacking through host scanning, and transmitting and installing a spy bot agent to each detected dangerous host according to the present invention. And a spy bot management server for acquiring packet information of packets entering and exiting each of the dangerous hosts through a bot agent, wherein the backtracking server comprises: each of the packets entering and exiting each of the dangerous hosts through the spy bot agent; This is achieved by a network attack location tracking system using a spy bot agent that tracks source and destination information for each host for dangerous packets that do not fall within the IP range assigned by the host.

상기한 목적은 본 발명에 따라, 복수의 호스트와 네트워크 접속되며, 스파이 봇 에이전트를 이용하는 네트워크 공격 위치 추적 시스템을 통해 수행되며, 상기 각 호스트에 대한 호스트 스캐닝을 수행하여 상기 호스트들 중 해킹 포트가 오픈 된 위험 호스트를 적어도 하나 판단하는 단계, 상기 각 위험 호스트를 출입하는 패킷의 패킷정보를 획득하는 스파이 봇 에이전트를 상기 각 위험 호스트에 설치하는 단계, 상기 스파이 봇 에이전트를 통해 상기 각 위험 호스트를 출입하는 패킷들 중 상기 각 위험 호스트에서 할당하는 IP 범위에 해당하지 않는 위험 패킷에 대해 각 호스트별 근원지 정보와 목적지 정보를 획득하는 단계, 및 상기 위험 패킷이 상기 복수의 위험 호스트를 경유 시, 상기 위험 패킷에 대한 상기 각 위험 호스트의 근원지 정보와 목적지 정보를 참조하여 상기 위험 패킷의 실제 근원지 정보를 역 추적하는 단계에 의해 달성된다.According to the present invention, the above-mentioned object is network-connected with a plurality of hosts, is performed through a network attack location tracking system using a spy bot agent, and a hacking port is opened among the hosts by performing host scanning for each host. Determining at least one dangerous host, installing a spy bot agent for each dangerous host to obtain packet information of packets entering and leaving each dangerous host, and accessing each dangerous host through the spy bot agent. Acquiring source and destination information for each host for a dangerous packet that does not correspond to an IP range allocated by each dangerous host among the packets, and when the dangerous packet passes through the plurality of dangerous hosts, the dangerous packet Source information and destination of each of the above risk hosts for With reference to the information is accomplished by the step of tracking stations a real source information of the dangerous packets.

상기한 바와 같이 본 발명은 종래의 비 협조적인 도메인 협력관계에 의존하지 않고도 해킹, 또는 해킹이 의심되는 패킷의 진원지를 파악할 수 있다.As described above, the present invention can identify the origin of a hack or a packet suspected to be hacked without relying on conventional non-cooperative domain cooperation.

또한, 본 발명은 스파이 봇 에이전트를 각 도메인에 소속되는 호스트 중 보안이 취약한 곳에 이식하고, 원격지에서 각 호스트를 출입하는 패킷의 패킷정보를 획득함으로써 광범위한 지역에서 공격자를 추적, 및 탐지할 수 있다.In addition, the present invention is able to track and detect attackers in a wide range of areas by implanting a spy bot agent in a security-vulnerable place among the hosts belonging to each domain, and by obtaining packet information of packets entering and leaving each host from a remote location.

또한, 본 발명에 따른 스파이 봇 에이전트는 종래의 도메인에 소속되는 호스트 중 보안이 취약한 곳에 이식되어 공격자를 탐지할 뿐이므로, 종래의 네트워크 시스템을 전혀 변화시킬 필요가 없다. In addition, since the spy bot agent according to the present invention only detects an attacker by being implanted in a location where security is weak among hosts belonging to the conventional domain, there is no need to change the conventional network system at all.

또한, 본 발명은 각 호스트에 심어진 각 스파이 봇 에이전트를 통해 각 호스 트에 대한 접속 기록과 공격자 정보를 획득하므로 호스트에 대한 보안 사고가 발생 시, 책임소재의 규명이 용이하며, 이를 법적 증거물로 활용할 수 있다. In addition, the present invention obtains access records and attacker information for each host through each spy bot agent planted in each host, so when a security incident occurs on the host, it is easy to identify the responsible material and use it as legal evidence. Can be.

이하, 도면을 참조하여 본 발명을 상세히 설명하도록 한다.Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명에 따른 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템(이하 역 추적 시스템이라 한다.)의 전체 개념도를 나타낸다.Figure 1 shows the overall conceptual diagram of a network attack location tracking system (hereinafter referred to as a reverse tracking system) using a spy bot agent according to the present invention.

본 발명에 따른 역 추적 시스템은 스파이 봇 관리 서버(200), 및 역추적 서버(300)로 구성된다. The backtracking system according to the present invention is composed of a spy bot management server 200, and a backtracking server 300.

역 추적 서버(300)는 도메인에 소속되는 호스트(11, 12, 13, 도메인 A에 해당하는 호스트임)에 대해 호스트 스캐닝을 수행한다. 역 추적 서버(300)는 호스트 스캐닝을 통해 각 호스트(11, 12, 13)의 오픈 된 포트를 판단한다. 역추적 서버(300)는 각 호스트(11, 12, 13)의 오픈 된 포트의 수, 및 오픈 된 포트들 중 해킹 코드나 바이러스의 침투를 위해 흔히 사용되는 포트의 개방 여부를 판단한다. The traceback server 300 performs host scanning on hosts 11, 12, 13, and domain A belonging to the domain. The tracking server 300 determines the open ports of the hosts 11, 12, and 13 through host scanning. The traceback server 300 determines the number of open ports of each of the hosts 11, 12, and 13, and whether the ports commonly used for the penetration of hacking codes or viruses are opened.

통상 방화벽이 설치된 호스트에는 호스트의 서비스 제공을 위한 포트 이외의 포트들은 차단되거나 포트 접속을 위해서 호스트의 허가를 필요로 한다. 그렇지 않다면 호스트는 역 추적 서버(300)에서 포트의 개방 여부를 확인하기 위해 보내는 패킷에 대부분 응답할 것이다. In general, a host installed with a firewall may block ports other than a port for providing a service of the host, or require the host's permission to access a port. Otherwise, the host will most likely respond to packets sent by the traceback server 300 to check whether the port is open.

다른 한편, 본 발명의 호스트 스캐닝은 해킹 툴이 호스트의 취약점을 찾는 것과 유사한 과정을 통해 호스트의 취약한 포트를 찾을 수 있다. 통상, 해킹 툴은 아래에 기재된 포트에 패킷을 전송하고 그에 대한 호스트의 응답 여부를 통해 해킹 에 적합한 포트를 찾는다.On the other hand, the host scanning of the present invention can find the vulnerable port of the host through a similar process as the hacking tool finds the host's vulnerability. Typically, the hacking tool sends packets to the ports described below and finds a suitable port for hacking through the host's response.

- 아래 --Down-

80 (www), 23 (telnet), 143 (imap), 110 (pop3) [all three, or none, are probed], 111 (sunrpc), 6000 (x11), 79 (finger), 53 (domain), 31337 (unassigned by IANA), 2766 (Solaris listen/nlps_server). 물론 역추적 서버(300)는 언급된 것 외에 다른 포트에 대해서도 스캐닝을 수행할 수 있으며, 본 발명의 역추적 서버(300)는 포트의 응답 여부를 통해 해킹에 취약한 호스트(이하, 위험 호스트라 한다.)를 찾거나 해킹 툴이 주로 이용하는 포트의 존재 여부를 통해 위험 호스트를 찾는 방법을 이용할 수 있으며, 두 방법 모두를 적용할 수도 있다.80 (www), 23 (telnet), 143 (imap), 110 (pop3) [all three, or none, are probed], 111 (sunrpc), 6000 (x11), 79 (finger), 53 (domain), 31337 (unassigned by IANA), 2766 (Solaris listen / nlps_server). Of course, the backtracking server 300 may perform scanning on other ports in addition to those mentioned, and the backtracking server 300 of the present invention is a host vulnerable to hacking through a port response (hereinafter, referred to as a dangerous host). .) Or the presence of a port commonly used by hacking tools to find a dangerous host, or both.

역추적 서버(300)는 위험 호스트(10)를 판단 후, 위험 호스트(10)의 IP를 획득한다. 획득한 IP는 스파이 봇 관리 서버(200)로 통보되며, 스파이 봇 관리 서버(200)는 역추적 서버(300)에서 통보한 IP의 호스트(10)로 스파이 봇 에이전트(100)를 전송, 및 설치한다. 스파이 봇 에이전트(100)는 위험 호스트(10)로 잠입하여 설치된 후, 위험 호스트(10)의 관리자 계정을 획득하고, 이를 통해, 위험 호스트(10)를 출입하는 패킷을 분석하여 해킹이 의심되는 패킷을 찾는다.The traceback server 300 obtains the IP of the dangerous host 10 after determining the dangerous host 10. The obtained IP is notified to the spy bot management server 200, and the spy bot management server 200 transmits and installs the spy bot agent 100 to the host 10 of the IP notified by the backtracking server 300. do. After the spy bot agent 100 is installed by infiltrating the dangerous host 10, the spy bot agent 100 acquires an administrator account of the dangerous host 10, and analyzes packets entering and exiting the dangerous host 10, thereby suspecting hacking. Find it.

이후, 스파이 봇 에이전트(100)는 해킹이 의심되는 패킷(이하, 위험 패킷이라 한다)의 패킷정보를 스파이 봇 관리 서버(200)로 전송하고, 역추적 서버(300)는 스파이 봇 관리 서버(200)를 통해 이를 획득한 후, 패킷의 근원지 주소, MAC 주소, 및 목적지 주소를 참조하여 위험 패킷의 전달 경로를 판단한다. 이를 위해, 스파 이 봇 에이전트는 각 도메인(A, B, C)에 소속되는 각 호스트(예컨대 참조부호 10, 11, 12, 13 등)에 널리 분포됨이 바람직하다. 즉, 각 호스트(10 ∼ 13)에 분포된 스파이 봇 에이전트들이 위험 패킷이 자신의 호스트에 출입할 때마다 이를 스파이 봇 관리 서버(200)로 통보하고, 역추적 서버(300)는 Subsequently, the spy bot agent 100 transmits packet information of a packet suspected to be hacked (hereinafter referred to as a dangerous packet) to the spy bot management server 200, and the backtracking server 300 is a spy bot management server 200. After this is obtained, the transmission path of the dangerous packet is determined by referring to the source address, the MAC address, and the destination address of the packet. To this end, the spy bot agent is preferably widely distributed to each host (eg, reference numerals 10, 11, 12, 13, etc.) belonging to each domain (A, B, C). That is, the spy bot agents distributed to each host 10 to 13 notifies the spy bot management server 200 whenever a dangerous packet enters and exits its host, and the backtracking server 300

만일 위험 패킷이 여러 호스트(10 ∼ 13 중 적어도 하나)를 경유하면서 위험 패킷의 실제 근원지 정보를 여러 호스트(10 ∼ 13)로 속인다 하더라도, 역추적 서버(300)가 각 호스트(10 ∼ 13)가 위험 패킷의 출입 내역을 알고 있다면 위험 패킷의 IP 세탁(패킷의 IP 주소를 변경하거나 속이는 것)을 즉각 판단할 수 있을 것이다.Even if the dangerous packet passes through multiple hosts (at least one of 10 to 13) and deceives the actual source information of the dangerous packet to the various hosts 10 to 13, the backtracking server 300 may not be able to access each host 10 to 13. Knowing a dangerous packet's entry and exit will immediately determine the IP packet's IP laundering (by changing or decepting the packet's IP address).

여기서, 위험 패킷은,Here, the dangerous packet is

- IP 스푸핑을 통해 IP 세탁을 시도하는 패킷(특정 호스트에 SYN 공격을 수행하는 패킷(들)), Packets attempting IP laundering via IP spoofing (packet (s) performing a SYN attack on a particular host),

- 호스트가 네트워크 통신에 이용하는 IP 범위를 벗어나는 패킷,Packets outside the IP range that the host uses for network communication,

- 프록시 서버를 경유하여 자신의 실제 근원지 주소를 감추는 패킷, 및A packet that hides its actual source address via a proxy server, and

- 통상의 어플리케이션이 이용하지 않으며, 해킹 툴이 주로 이용하는 포트에 접근하는 패킷이 이에 해당한다.-A packet that accesses a port that a hacking tool mainly uses that is not used by a normal application corresponds to this.

IP 스푸핑을 위해서는 호스트와 접속되는 실제 클라이언트가 호스트와 접속하지 못하도록 하여야 한다. 이를 위해, 공격자는 클라이언트에 다량의 SYN 패킷을 발송하여 호스트와 실제 클라이언트 사이의 통신을 일정시간 차단한다. 이는 도 2를 함께 참조하여 설명하도록 한다.For IP spoofing, the real client connecting to the host should not be able to connect to the host. To do this, the attacker sends a large amount of SYN packets to the client, blocking the communication between the host and the actual client for a certain period of time. This will be described with reference to FIG. 2 together.

도 2는 IP 스푸핑을 위한 SYN 공격 방법을 개념적으로 나타낸다. 2 conceptually illustrates a SYN attack method for IP spoofing.

도시된 바와 같이, IP 스푸핑은 공격자(C)가 호스트(B)와 클라이언트(A) 사이의 통신을 차단하고, 자신이 클라이언트(A)를 대신하여 호스트(B)와 통신을 수행하는 방법이다. 공격자(C)는 클라이언트(A)에 다량의 SYN 패킷을 전송하여 클라이언트(A)를 마비시키고, 호스트(B)가 실제의 클라이언트(A)와 통신을 수행할 수 없도록 한다. As shown, IP spoofing is a method in which the attacker C blocks communication between the host B and the client A, and performs communication with the host B on its own behalf. The attacker (C) paralyzes the client (A) by sending a large amount of SYN packets to the client (A) and prevents the host (B) from communicating with the actual client (A).

정상적인 상황이라면 호스트(B)와 클라이언트(A) 사이에는 서로 SYN 패킷을 주고 받은 후, 데이터를 상호 전송한다. Under normal circumstances, the host B and the client A exchange SYN packets with each other, and then transmit data with each other.

통상의 경우 호스트(B)와 클라이언트(A)가 하나의 데이터를 주고 받기 위해 필요한 SYN 패킷은 수 개에 불과하나, 공격자(C)가 SYN 공격을 할 때는 수백 ∼ 수천 개의 SYN 패킷을 연속하여 호스트(B)로 보내어 호스트(B)와 실제 클라이언트(C)의 통신을 차단한다. 이후, 공격자(C)는 호스트(B)로 적당한 ACK 패킷을 보냄으로써 클라이언트(A)를 대신하여 호스트(B)와 접속을 수행한다.Normally, only a few SYN packets are required for the host B and the client A to send and receive a single data, but when the attacker C makes a SYN attack, the host continuously runs hundreds to thousands of SYN packets. Send to (B) to block communication between host B and actual client C. The attacker C then connects to the host B on behalf of the client A by sending the appropriate ACK packet to the host B.

역추적 서버(300)는 각 호스트(10 ∼ 13)에 잠입한 스파이 봇이 스파이 봇 관리 서버(200)를 통해 전송하는 패킷의 패킷정보를 참조하여 위험 패킷의 전달 경로를 추적한다. 이는 도 3과 도 4를 함께 참조하여 설명하도록 한다.The traceback server 300 tracks a delivery path of a dangerous packet by referring to packet information of a packet transmitted by a spy bot infiltrating each host 10 to 13 through the spy bot management server 200. This will be described with reference to FIGS. 3 and 4 together.

먼저, 도 3은 위험 패킷이 공격자의 단말기(E)를 출발하여 공격자가 속하는 호스트(F)를 지나 타 도메인에 속하는 호스트(G)를 통해 목적 호스트(H)로 향하는 일 예를 나타낸다. 도면에서, 공격자의 단말기(E)에서 라우터(L0)를 경유하여 목적 호스트(H)로 향하는 위험 패킷의 패킷 정보(패킷의 헤더를 분석하여 얻을 수 있 다)에는 위험 패킷의 근원지 주소와 목적지 주소(호스트 E의 주소 -> 호스트 F의 주소), 및 라우터(L0)의 MAC 주소값(MAC_A)이 포함된다.First, FIG. 3 shows an example in which a dangerous packet leaves the attacker's terminal E and passes through the host F to which the attacker belongs and through the host G belonging to another domain to the destination host H. In the figure, packet information (obtained by analyzing the header of a packet) of a dangerous packet from the attacker's terminal E to the destination host H via the router L0 may be included in the source and destination addresses of the dangerous packet. (Address of host E-> address of host F), and MAC address value MAC_A of router L0.

그러나, 위험 패킷이 호스트(F)에서 호스트(G)로 향하게 되면, 위험 패킷의 근원지 주소와 목적지 주소는 호스트 F의 주소 -> 호스트 G의 주소에 해당한다. 따라서, 위험 패킷이 경유하는 호스트의 수가 많아질수록 공격자의 실제 근원지는 파악하기 어려워진다. 그러나, 위험 패킷의 MAC 주소는 바뀌지 않는다. 만일 스파이 봇 에이전트가 각 호스트(F, G, 및 H)에 잠입한 상태일 경우, 역추적 서버(300)는 스파이 봇 에이전트를 통해 라우터(L0)의 MAC 주소를 기준으로 하여 위험 패킷의 IP 세탁을 모두 파악할 수 있으며, 위험 패킷의 근원지가 라우터(L0)에 속하는 단말기(E) 임을 알아낼 수 있다.However, if a dangerous packet is directed from host F to host G, the source address and destination address of the dangerous packet correspond to the address of host F-> host G address. Thus, as the number of hosts traversed by dangerous packets increases, the actual origin of the attacker becomes harder to determine. However, the MAC address of the dangerous packet does not change. If the spy bot agent is infiltrating each host (F, G, and H), the backtracking server 300 uses the spy bot agent to clean IP packets of dangerous packets based on the MAC address of the router (L0). It can be found that all, and can be found that the source of the dangerous packet is the terminal (E) belonging to the router (L0).

그러나, 모든 공격자가 자신의 MAC을 노출하지는 않는다. 이 경우는 도 4를 참조하여 설명하도록 한다.However, not all attackers expose their MACs. This case will be described with reference to FIG. 4.

도 4는 공격자가 라우터를 통해 호스트(N)에 침입하는 일 예를 나타낸다.4 shows an example in which an attacker invades the host N through a router.

도면에서, 공격자는 단말기(J), 공격자가 속하는 호스트(K), 및 라우터(L1, L2)를 거쳐 스파이 봇 에이전트가 잠입한 호스트(M)와 호스트(N)에 침투하고 있다. 라우터(L2)는 위험 패킷의 MAC 주소를 "MAC_B"에서 "MAC_C"로 변경한다. 여기서, MAC_C는 라우터(L2) 자신에게 할당된 MAC 주소에 해당한다. 이러한 과정을 통해 위험 패킷의 MAC 주소가 세탁되고, 스파이 봇 에이전트가 호스트(M, N)에만 잠입했을 경우, 역추적 서버(300)는 라우터(L2) 까지만 추적할 수 있다. 만일, 스파이 봇 에이전트가 호스트(K) 까지 잠입한 상태라면 MAC 주소의 세탁이 발생한다 하더 라도 역추적 서버(300)가 이를 즉각 파악할 수 있을 것이다. 즉, 본 발명에서 언급하는 스파이 봇 에이전트는 여러 호스트에 널리 퍼질수록 위험 패킷에 대한 탐지 능력이 증가한다. In the figure, the attacker has penetrated the host M and host N infiltrated by the spy bot agent via the terminal J, the host K to which the attacker belongs, and the routers L1 and L2. Router L2 changes the MAC address of the dangerous packet from "MAC_B" to "MAC_C". Here, MAC_C corresponds to the MAC address assigned to the router L2 itself. When the MAC address of the dangerous packet is washed through this process, and the spy bot agent infiltrates only the host (M, N), the backtracking server 300 can track only the router L2. If the spy bot agent is infiltrated to the host K, even if the washing of the MAC address occurs, the backtracking server 300 may immediately recognize this. In other words, the spy bot agent mentioned in the present invention increases the detection capability of dangerous packets as it spreads to various hosts.

따라서, 스파이 봇 에이전트는 역추적 서버(300)가 찾아낸 위험 호스트(M, N) 이외에도, 스스로가 주변 네트워크를 스캐닝하여 새로운 위험 호스트를 찾아내고, 찾아낸 위험 호스트에 자신을 복제한 또 하나의 스파이 넷 에이전트를 심거나, 스파이 봇 관리 서버(200)로 새로이 찾아낸 위험 호스트의 정보를 보내어 새로운 스파이 봇 에이전트를 설치할 필요가 있다. Therefore, in addition to the dangerous hosts (M, N) found by the backtracking server 300, the spy bot agent scans the surrounding network to find a new dangerous host, and duplicates itself on the found dangerous host. It is necessary to install an agent or to install a new spy bot agent by sending information of a newly discovered dangerous host to the spy bot management server 200.

도 5는 스파이 봇 에이전트의 내부 블록개념도를 나타낸다.5 shows an internal block diagram of a spy bot agent.

도시된 스파이 봇 에이전트는, 스캐닝 모듈(110), 네트워크 정보 획득모듈(120), 패킷 분석모듈(130), 및 리포트 모듈(140)을 구비한다.The illustrated spy bot agent includes a scanning module 110, a network information acquisition module 120, a packet analysis module 130, and a report module 140.

스캐닝 모듈(110)은 위험 호스트에 잠입한 후, 잠입한 위험 호스트의 주변 호스트에 대해 호스트 스캐닝을 수행한다. 스캐닝 모듈(110)은 역추적 서버(300)와 동일한 방법에 의해 주변 호스트의 포트들 중 오픈 된 포트의 수, 및 해킹에 취약한 포트의 오픈 여부를 판단한다. 판단결과, 위험 호스트로 분류되는 타 호스트를 발견 시, 그 결과를 스파이 봇 관리 서버(200)로 통보한다. 만일, 새로이 발견된 호스트가 스파이 봇 에이전트가 잠입한 위험 호스트와 유사한 운영체제, 및 조건을 갖추고 있을 경우, 스캐닝 모듈(110)은 위험 호스트에 잠입한 스파이 봇 에이전트를 복제하여 새로이 발견된 호스트로 전송하여 설치할 수 있다.After infiltrating the dangerous host, the scanning module 110 performs host scanning on the neighboring host of the infiltrating dangerous host. The scanning module 110 determines the number of open ports among the ports of the peripheral host and whether the ports vulnerable to hacking are opened by the same method as the traceback server 300. As a result of the determination, when another host classified as a dangerous host is found, the result is notified to the spybot management server 200. If the newly discovered host has an operating system and conditions similar to the dangerous host infiltrated by the spy bot agent, the scanning module 110 replicates the spy bot agent infiltrated to the dangerous host and transmits it to the newly discovered host. Can be installed.

네트워크 정보 획득모듈(120)은 호스트가 주변 클라이언트(또는 주변 호스 트)와 네트워크 통신에 이용하는 IP 범위에 대한 정보를 획득한다. 호스트는 자신이 제공하는 서비스의 종류에 따라 주로 이용하는 통신 포트가 있으며, 호스트에 할당되었거나, 스스로 할당한 IP 범위 내에서 클라이언트(또는 타 호스트)와 통신을 수행한다. 반면, 해킹을 하고자 하는 공격자는 호스트에 할당된(또는 호스트가 설정하는) IP 범위와 관계없이 임의의 IP를 이용하여 공격을 하는 경우가 많다. The network information acquisition module 120 obtains information on the IP range that the host uses for network communication with the peripheral client (or the peripheral host). The host has a communication port mainly used according to the type of service provided by the host, and communicates with the client (or other host) within the IP range assigned to the host or assigned by the host. On the other hand, an attacker who wants to hack often attacks using an arbitrary IP regardless of the IP range assigned to the host (or set by the host).

따라서, 네트워크 정보 획득모듈(120)은 위험 호스트가 주로 이용하는 통신 포트나 IP 범위에 대한 정보를 획득하고, 이를 토대로 공격자의 해킹 시도 여부를 판단할 근거 자료를 획득한다. 네트워크 정보 획득모듈(120)은 위험 호스트의 통신 포트, 및 IP 범위에 대한 정보를 생성 후, 이를 데이터(150)의 형태로 저장한다. 데이터(150)는 스파이 봇 에이전트가 잠입한 위험 호스트의 저장장치(메모리, 또는 하드디스크)에 마련되거나, 스파이 봇 관리 서버(200)로 전송하여 스파이 봇 관리 서버(200)에서 데이터베이스의 형태로 저장, 및 구축될 수 있다. 또한, 네트워크 정보 획득모듈(120)은 호스트를 출입하는 패킷의 출입 내역이 기록되는 LOG 파일을 획득한다.Therefore, the network information acquisition module 120 obtains information on a communication port or IP range mainly used by a dangerous host, and obtains the basis data for determining whether an attacker attempts a hack based on this. The network information acquisition module 120 generates information on the communication port of the dangerous host and the IP range, and stores the information in the form of data 150. The data 150 is provided in a storage device (memory or hard disk) of a dangerous host infiltrated by the spy bot agent, or transmitted to the spy bot management server 200 and stored in the form of a database in the spy bot management server 200. , And can be built. In addition, the network information acquisition module 120 obtains a LOG file that records the access history of packets entering and leaving the host.

LOG 파일은 추후 해킹과 같은 보안사고가 발생 시, 보안에 대한 책임 소재를 따질 때 이용될 수 있다.The LOG file can be used to account for security in the event of a security incident such as a hack.

패킷 분석모듈(130)은 네트워크 정보 획득모듈(120)을 통해 획득된 데이터(150)를 기준으로 하며, 호스트를 출입하는 패킷의 헤더를 분석하고, 분석된 패킷의 IP가 호스트 측 IP 범위에 해당하는지, 또는 벗어나는지를 판단한다. 또한, 패킷 분석모듈(130)은 호스트로 출입하는 패킷의 IP가 데이터(150)에 미리 정의된 프록시 서버의 주소에 해당하는지 판단하며, 스파이 봇 관리 서버(200)의 요청에 따라 특정한 MAC 주소를 갖는 패킷의 출입 여부, 및 출입 기록을 리포트 모듈(140)을 통해 스파이 봇 관리 서버(200)로 제공할 수 있다.The packet analysis module 130 is based on the data 150 acquired through the network information acquisition module 120, and analyzes the header of the packet entering and leaving the host, and the analyzed packet IP corresponds to the host side IP range. Determine whether or not it is off. In addition, the packet analysis module 130 determines whether the IP of the packet entering and leaving the host corresponds to the address of the proxy server predefined in the data 150, and requests a specific MAC address according to the request of the spy bot management server 200. Whether the packet has an entry and exit, and the entry record can be provided to the spybot management server 200 through the report module 140.

리포트 모듈(140)은 스파이 봇 관리 서버(200)와 통신을 수행하며, 스파이 봇 관리 서버(200)로 패킷 분석모듈(130)에서 판단한 위험 패킷, 위험 패킷의 근원지 주소, 목적지 주소, 및 MAC 주소, 및 호스트의 LOG 파일을 전송한다. The report module 140 communicates with the spy bot management server 200, and the dangerous packet determined by the packet analysis module 130 to the spy bot management server 200, the source address of the dangerous packet, the destination address, and the MAC address. Send the, and host LOG files.

리포트 모듈(140)은 스캐닝 모듈(100)에 의해 발견된 새로운 위험 호스트에 대한 정보(IP)를 스파이 봇 관리 서버(200)로 전송한다. The report module 140 transmits the information (IP) about the new dangerous host found by the scanning module 100 to the spy bot management server 200.

또한, 리포트 모듈(140)은 스파이 봇 관리 서버(200)가 통보하는 MAC 주소나, IP 주소에 해당하는 패킷의 존재 여부, 및 해당 패킷의 접속 경로(근원지 주소, 목적지 주소)를 패킷 분석모듈(130)에 통보하고, 패킷 분석모듈(130)로부터 그 결과를 통보받아 스파이 봇 관리 서버(200)로 제공할 수 있다.In addition, the report module 140 may determine whether a packet corresponding to the MAC address or IP address notified by the spy bot management server 200 exists, and a connection path (source address, destination address) of the packet to the packet analysis module ( 130 and notify the result from the packet analysis module 130 may be provided to the spybot management server 200.

도 6은 본 발명에 따른 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법에 따른 흐름도를 나타낸다.6 is a flowchart illustrating a network attack location tracking method using a spy bot agent according to the present invention.

본 발명에 따른 역추적 시스템은 스파이 봇 관리 서버(200)와 역추적 서버(300)로 구성된다. 물론, 본 발명에 따른 역추적 시스템이 두 서버(200, 300)가 하나로 통합된 형태로 구현될 수도 있음은 물론이다. 따라서, 본 발명에 따른 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법은 하나로 통합된 서버, 또는 두 개의 서버(200, 300)로 구획된 서버 중 어느 하나일 수 있으나, 그 동작 개념은 동일한 바, 따로 구분하여 설명하지는 않는다.The backtracking system according to the present invention comprises a spy bot management server 200 and a backtracking server 300. Of course, the backtracking system according to the present invention may be implemented in a form in which the two servers 200 and 300 are integrated into one. Therefore, the network attack location tracking method using a spy bot agent according to the present invention may be any one of a server integrated into one, or a server partitioned into two servers (200, 300), the operation concept is the same, separately It is not explained separately.

먼저, 역추적 시스템은 각 도메인에 위치하는 호스트로 호스트 스캐닝을 수행한다(S401). 역추적 시스템은 호스트 스캐닝을 통해 각 호스트의 오픈 된 포트의 수, 및 해킹에 취약한 포트의 오픈 여부를 판단할 수 있다. 오픈 된 포트가 많거나, 해킹에 취약한 포트가 오픈 된 호스트는 위험 호스트로 분류하며, 역추적 시스템은 해당 위험 호스트의 IP 정보를 획득한다(S402). 다음으로 역추적 시스템은 획득한 IP로 스파이 봇 에이전트를 전송하며, 스파이 봇 에이전트는 역추적 시스템이 지시한 IP로 잠입하고(S403), 잠입한 위험 호스트에서 관리자 권한을 획득한다(S404). 관리자 권한의 획득은 통상의 바이러스나 해킹 코드가 수행하는 것으로, 본 발명에 따른 스파이 봇 에이전트가 이와 동일한 기능을 수행하는 것이 일견 이상하게 보일 수 있다. 스파이 봇 에이전트는 호스트의 네트워크 정보를 획득하고, 호스트로 출입하는 위험 패킷을 조사하기 위해 관리자 권한이 필요한 것일 뿐, 호스트 자체에 대해 아무런 해도 끼치지 않는다. 다음으로, 스파이 봇 에이전트는 호스트를 출입하는 패킷을 분석하여 해킹이 의심되는 위험 패킷을 검출하고, 호스트를 출입한 패킷의 내역을 기록한 LOG 파일을 획득하여 스파이 봇 관리 서버(200)로 전송한다(S405). 이때, 스파이 봇 에이전트는 호스트가 주로 이용하는 TCP 통신 방식 대신 XML 소켓 통신 방식과 같이 잘 이용되지 않는 통신 방식을 이용하여 역추적 시스템과 데이터 통신을 수행하는 것이 바람직하다. First, the backtracking system performs host scanning with a host located in each domain (S401). The traceback system can determine the number of open ports of each host and whether ports are vulnerable to hacking through host scanning. Hosts that have many open ports or open ports that are vulnerable to hacking are classified as dangerous hosts, and the traceback system obtains IP information of the corresponding dangerous hosts (S402). Next, the backtracking system transmits the spy bot agent to the acquired IP, and the spybot agent infiltrates to the IP indicated by the backtracking system (S403), and acquires the administrator authority from the compromised dangerous host (S404). Acquisition of administrator authority is performed by a normal virus or hacking code, and it may seem strange that a spy bot agent according to the present invention performs the same function. The spy bot agent only needs administrator privileges to acquire the network information of the host and examine the dangerous packets entering and leaving the host, and does no harm to the host itself. Next, the spy bot agent analyzes packets entering and leaving the host, detects dangerous packets suspected of hacking, obtains a LOG file that records the details of packets entering and leaving the host, and transmits them to the spy bot management server 200 ( S405). In this case, it is preferable that the spy bot agent performs data communication with the backtracking system using a communication method that is not well used, such as an XML socket communication method, instead of the TCP communication method mainly used by the host.

도 1은 본 발명에 따른 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템의 전체 개념도,1 is a conceptual diagram of a network attack location tracking system using a spy bot agent according to the present invention;

도 2는 IP 스푸핑을 위한 SYN 공격을 개념적으로 나타내는 도면,2 conceptually illustrates a SYN attack for IP spoofing,

도 3은 위험 패킷이 공격자의 단말기를 출발하여 공격자가 속하는 호스트를 지나 타 도메인에 속하는 호스트를 통해 목적 호스트로 향하는 일 예를 개념적으로 나타내는 도면,3 is a diagram conceptually illustrating an example in which a dangerous packet leaves the attacker's terminal and passes through the host to which the attacker belongs to the destination host through a host belonging to another domain;

도 4는 공격자가 라우터를 통해 호스트에 침입하는 일 예를 나타내는 도면,4 is a diagram illustrating an example in which an attacker intrudes into a host through a router;

도 5는 스파이 봇 에이전트의 내부 블록개념도, 그리고5 is a conceptual block diagram of a spy bot agent, and

도 6은 본 발명에 따른 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법에 따른 흐름도를 나타낸다.6 is a flowchart illustrating a network attack location tracking method using a spy bot agent according to the present invention.

*도면의 주요 부분에 대한 부호의 설명** Description of the symbols for the main parts of the drawings *

100 : 스파이 봇 에이전트 110 : 스캐닝 모듈100: spy bot agent 110: scanning module

120 : 네트워크 정보 획득모듈 130 : 패킷 분석모듈120: network information acquisition module 130: packet analysis module

140 : 리포트 모듈 200 : 스파이 봇 관리 서버140: Report Module 200: Spybot Management Server

300 : 역추적 서버300: traceback server

Claims (10)

호스트 스캐닝을 통해 해킹에 취약한 포트가 오픈 된 위험 호스트를 적어도 하나 검출하는 역추적 서버; 및A backtracking server that detects at least one dangerous host whose ports are vulnerable to hacking through host scanning; And 상기 검출된 각 위험 호스트로 스파이 봇 에이전트를 전송하여 설치하며, 설치된 스파이 봇 에이전트를 통해 상기 각 위험 호스트를 출입하는 패킷의 패킷정보를 획득하는 스파이 봇 관리 서버;를 포함하며,A spy bot management server configured to transmit and install a spy bot agent to each detected dangerous host, and obtain packet information of packets entering and exiting each dangerous host through the installed spy bot agent; 상기 역추적 서버는,The backtracking server, 상기 스파이 봇 에이전트를 통해 상기 각 위험 호스트를 출입하는 패킷들 중 상기 각 위험 호스트에서 할당하는 IP 범위에 해당하지 않는 위험 패킷에 대해 각 호스트별 근원지 정보와 목적지 정보를 추적하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템.Source and destination information for each host is tracked for dangerous packets that do not correspond to an IP range allocated by each dangerous host among the packets entering and leaving each dangerous host through the spy bot agent. Network attack location tracking system using agents. 제1항에 있어서,The method of claim 1, 상기 스파이 봇 에이전트는,The spy bot agent, 상기 위험 호스트가 네트워크 통신에 이용하는 IP 범위에 대한 정보를 획득하는 네트워크 정보 획득모듈;A network information acquiring module for acquiring information on an IP range used by the dangerous host for network communication; 상기 위험 호스트를 출입하는 패킷의 IP가 상기 IP 범위에 해당하는지를 판단하는 패킷 분석모듈; 및A packet analysis module for determining whether an IP of a packet entering and leaving the dangerous host corresponds to the IP range; And 상기 위험 호스트를 출입하는 패킷의 IP가 상기 IP 범위를 이탈 시, 이를 상기 스파이 봇 관리 서버로 통보하는 리포트 모듈;을 포함하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템.And a report module for notifying the spy bot management server when the IP of the packet entering and leaving the dangerous host leaves the IP range. 제2항에 있어서,The method of claim 2, 프록시 서버에 대한 IP 정보를 구비하는 데이터 저장모듈;을 더 포함하며,And a data storage module having IP information about the proxy server. 상기 패킷 분석모듈은,The packet analysis module, 상기 위험 호스트를 출입하는 패킷의 발신 IP가 상기 프록시 서버에 해당하는지의 여부를 판단하고 그 결과를 상기 스파이 봇 관리 서버로 통보하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템.And determining whether the originating IP of the packet entering or leaving the dangerous host corresponds to the proxy server and notifying the spy bot management server of the result. 제2항에 있어서,The method of claim 2, 상기 스파이 봇 에이전트는,The spy bot agent, 상기 위험 호스트와 동일 도메인에 속하는 적어도 하나의 타 호스트로 호스트 스캐닝을 수행하며,Perform host scanning to at least one other host belonging to the same domain as the dangerous host, 상기 호스트 스캐닝을 통해 해킹에 취약한 통신 포토의 개방 여부를 판단하고 이를 상기 스파이 봇 관리 서버로 통보하는 스캐닝 모듈;을 더 포함하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템.And a scanning module for determining whether to open a communication port vulnerable to hacking through the host scanning and notifying the spy bot management server of the network attack location tracking system using a spy bot agent. 제4항에 있어서,The method of claim 4, wherein 상기 스파이 봇 관리 서버는,The spy bot management server, 상기 스파이 봇 에이전트의 호스트 스캐닝에 의해 해킹에 취약한 통신 포트 가 개방된 타 호스트로 새로운 스파이 봇 에이전트를 전송하여 설치하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템.A network attack location tracking system using a spy bot agent, characterized in that for transmitting a new spy bot agent to another host that is open to the communication port vulnerable to hacking by the host scanning of the spy bot agent. 제2항에 있어서,The method of claim 2, 상기 네트워크 정보 획득모듈은,The network information acquisition module, 상기 위험 호스트에서, 보안 패치 수행 여부, 설치된 보안 패치의 종류, 및 백신의 설치 여부 중 어느 하나에 대해 조회하고, 조회된 결과를 상기 리포트 모듈을 통해 상기 스파이 봇 관리 서버로 통보하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템.In the risk host, it is checked whether any security patch has been performed, the type of security patch installed, or whether an antivirus is installed, and informs the spy bot management server of the result of the inquiry through the report module. Network attack location tracking system using spy bot agent. 제2항에 있어서,The method of claim 2, 상기 네트워크 정보 획득모듈은,The network information acquisition module, 상기 위험 호스트로 향하는 SYN 패킷이 미리 정해진 개수를 초과하여 연속으로 인가될 시, 이를 상기 스파이 봇 관리 서버로 통보하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 시스템.And when the SYN packets destined for the dangerous host are continuously applied in excess of a predetermined number, notifying the spy bot management server of the network attack position tracking system using the spy bot agent. 복수의 호스트와 네트워크 접속되고, 스파이 봇 에이전트를 이용하는 네트워크 공격 위치 추적 시스템을 통해 수행되며,Networked with multiple hosts, performed via a network attack localization system using a spy bot agent, 상기 각 호스트에 대한 호스트 스캐닝을 수행하여 상기 호스트들 중 해킹 포트가 오픈 된 위험 호스트를 적어도 하나 판단하는 단계;Performing at least one host scanning for each of the hosts to determine at least one risk host whose hacking port is open; 상기 각 위험 호스트를 출입하는 패킷의 패킷정보를 획득하는 스파이 봇 에이전트를 상기 각 위험 호스트에 설치하는 단계; Installing a spy bot agent on each of the dangerous hosts to obtain packet information of packets entering and leaving the respective dangerous hosts; 상기 스파이 봇 에이전트를 통해 상기 각 위험 호스트를 출입하는 패킷들 중 상기 각 위험 호스트에서 할당하는 IP 범위에 해당하지 않는 위험 패킷에 대해 각 호스트별 근원지 정보와 목적지 정보를 획득하는 단계; 및Acquiring source information and destination information of each host for dangerous packets that do not correspond to an IP range allocated by each dangerous host among packets entering and leaving each dangerous host through the spy bot agent; And 상기 위험 패킷이 상기 복수의 위험 호스트를 경유 시, 상기 위험 패킷에 대한 상기 각 위험 호스트의 근원지 정보와 목적지 정보를 참조하여 상기 위험 패킷의 실제 근원지 정보를 역 추적하는 단계;를 포함하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법.And backtracking the actual source information of the dangerous packet by referring to the source information and the destination information of each dangerous host for the dangerous packet when the dangerous packet passes through the plurality of dangerous hosts. Network attack location tracking method using a spy bot agent. 제8항에 있어서,The method of claim 8, 상기 근원지 정보와 목적지 정보를 획득하는 단계는,Acquiring the source information and destination information, 상기 위험 호스트의 보안 패치 수행 여부, 설치된 보안 패치의 종류, 및 백신의 설치 여부 중 어느 하나에 대한 정보를 상기 스파이 봇 에이전트를 통해 획득하는 단계;를 더 포함하는 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법.Acquiring information on any one of whether the threat host performs the security patch, the type of the security patch installed, and whether the vaccine is installed through the spy bot agent; How to track network attack locations. 제8항에 있어서,The method of claim 8, 상기 역 추적하는 단계는,The reverse tracking step, 상기 위험 패킷에 포함되는 MAC 어드레스를 기준으로 하여 상기 각 위험 호 스트를 경유하는 위험 패킷의 동질성 여부를 판단하며, 이를 토대로 상기 위험 패킷의 근원지를 추적하는 단계인 것을 특징으로 하는 스파이 봇 에이전트를 이용한 네트워크 공격 위치 추적 방법.Using the spy bot agent, characterized in that the step of determining the homogeneity of the dangerous packet via each of the dangerous host on the basis of the MAC address included in the dangerous packet, and tracking the origin of the dangerous packet. How to track network attack locations.
KR1020080100299A 2008-04-28 2008-10-13 Cyber attack traceback system by using spy-bot agent, and method thereof KR101003094B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020080039433 2008-04-28
KR20080039433 2008-04-28

Publications (2)

Publication Number Publication Date
KR20090113745A KR20090113745A (en) 2009-11-02
KR101003094B1 true KR101003094B1 (en) 2010-12-21

Family

ID=41555034

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080100299A KR101003094B1 (en) 2008-04-28 2008-10-13 Cyber attack traceback system by using spy-bot agent, and method thereof

Country Status (1)

Country Link
KR (1) KR101003094B1 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102497362B (en) * 2011-12-07 2018-01-05 北京润通丰华科技有限公司 The network attack trace back method and device of Abnormal network traffic
KR102035582B1 (en) 2013-11-26 2019-10-24 한국전자통신연구원 Apparatus and method for attack source traceback
CN110297497B (en) * 2019-06-11 2023-03-28 沈阳航空航天大学 Multi-agent system consistency control method based on hybrid trigger mechanism under network attack

Also Published As

Publication number Publication date
KR20090113745A (en) 2009-11-02

Similar Documents

Publication Publication Date Title
US10587636B1 (en) System and method for bot detection
CN110445770B (en) Network attack source positioning and protecting method, electronic equipment and computer storage medium
US8561177B1 (en) Systems and methods for detecting communication channels of bots
US8707440B2 (en) System and method for passively identifying encrypted and interactive network sessions
US7076803B2 (en) Integrated intrusion detection services
US8839442B2 (en) System and method for enabling remote registry service security audits
US7222366B2 (en) Intrusion event filtering
US7984493B2 (en) DNS based enforcement for confinement and detection of network malicious activities
JP2020521383A (en) Correlation-driven threat assessment and remediation
KR100426317B1 (en) System for providing a real-time attacking connection traceback using of packet watermark insertion technique and method therefor
US20060143709A1 (en) Network intrusion prevention
US20040073800A1 (en) Adaptive intrusion detection system
US20090044277A1 (en) Non-invasive monitoring of the effectiveness of electronic security services
US20030097557A1 (en) Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
US20210409446A1 (en) Leveraging network security scanning to obtain enhanced information regarding an attack chain involving a decoy file
KR101487476B1 (en) Method and apparatus to detect malicious domain
KR101003094B1 (en) Cyber attack traceback system by using spy-bot agent, and method thereof
Rahman et al. Holistic approach to arp poisoning and countermeasures by using practical examples and paradigm
KR20150026187A (en) System and Method for dropper distinction
Bhumika et al. Use of honeypots to increase awareness regarding network security
GB2418563A (en) Monitoring for malicious attacks in a communications network
Hashim et al. Computer network intrusion detection software development
Shiue et al. Countermeasure for detection of honeypot deployment
Kamal et al. Analysis of network communication attacks
KR102401661B1 (en) SYSTEM OF DETECTION AND DEFENSING AGAINST DDoS ATTACK AND METHOD THEREOF

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20131128

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20141208

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20151026

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20191211

Year of fee payment: 12